高速公路收费并网安全检测规程.docx

联网收费系统省域系统并网接入网络安全检测规程

联网收费系统省域系统并网接入网络安全检测规程

目录

一、范围 1

二、规范性引用文件 1

三、并网接入网络安全检测总体要求 1

四、网络安全并网接入流程 3

五、并网接入网络安全检测细则 错误!未定义书签。

附录A 5

1.省联网中心 5

1.1通用要求 5

1.2云安全扩展要求 19

1.3大数据扩展要求 23

2.收费站 24

2.1通用要求 24

2.2物联网安全扩展要求 32

3.ETC门架 34

3.1通用要求 34

3.2物联网扩展要求 42

4.区域/路段中心 45

联网收费系统省域系统并网接入网络安全检测规程

联网收费系统省域系统并网接入网络安全检测规程

(送审稿)

为规范联网收费系统省域系统并网接入网络安全管理，保障取消省界站中安全建设合规达标及联网收费系统长期稳定运行，制定本检测规程。

一、适用范围

本规程用于取消高速公路省界收费站工作中新改建的省联网中心、收费站、ETC门架系统、区域/路段中心、ETC发行等系统并网接入全国联网收费系统专网时，对《联网收费系统省域系统并网接入网络安全基本技术要求》的符合性进行检测，旨在核验取消省界站中省域系统网络架构、安全策略、设备配备等是否具备并网接入安全条件。软件功能性的并网接入不适用本规程。

二、检测依据

并网接入网络安全检测主要依据以下标准和规范进行：

联网收费系统省域系统并网接入网络安全检测规程

（一）时间要求。并网接入网络安全检测，省域系统应在接入全国中心生产系统前完成。

（二）检测机构要求。并网接入网络安全检测应由国家有关部门认可的网络安全等级保护测评或信息安全风险评估机构承担。

（三）安全必威体育官网网址要求。应符合《收费公路联网收费系统网络安全管理暂行办法》对第三方服务安全管理的有关要求。签署必威体育官网网址协议，明确安全责任，防止敏感信息泄露。

（四）等级保护要求。省联网中心、ETC发行系统应通过等级保护第三级测评。

四、检测方法与结果判定

（一）检测方法

并网接入网络安全检测应对照《并网接入网络安全符合性检测细则》（见附录A）中“要求小项”逐项开展符合性检测，检测方法可采用访谈、文档核查、配置核查、案例验证测试、漏洞扫描测试、渗透性测试等方式。

1

1检测报告结论为“通过”和“不通过”；

联网收费系统省域系统并网接入网络安全检测规程

不符合则检测结论为“不通过”；

4．省联网中心、ETC发行系统符合率低于90%则检测结论为“不通过”；收费站、ETC门架系统、路段/区域中心符合率低于80%则检测结论为“不通过”。符合率：记分项得分之和除以记分总数（记分项数）。

五、检测组织及接入管理

各省（区、市）按照分级检测、抽测复核、核准实施、整体接入的方式开展检测及接入管理工作。

（一）省域自检测。

1．省联网中心、收费站、ETC门架、区域/路段中心、

ETC发行等系统的等级保护测评、技术要求符合性检测，由各省（区、市）结合实际情况自行组织实施。

2．对省联网中心系统、ETC发行系统、具备清分结算功能或与全国中心系统直连的区域/路段中心系统，应实现100%检测，对其余区域/路段中心系统可采用抽检方式检测。

3．在设计单位相同且建设施工单位也相同的条件下，对收费站系统ETC门架系统的检测可采用抽检方式开展

联网收费系统省域系统并网接入网络安全检测规程

1．在省域自检测完成后，由省联网中心或其上级单位向部路网中心提出省域系统整体并网接入申请。

2．由部路网中心对申请接入的省域系统开展复核，方式包括不限于现场技术检测、调阅文档、询问有关工作人员等。

3．如果复核通过，则组织省域系统整体接入；如果复核不通过，由部路网中心通知申请单位开展自查及整改，并重新提交并网接入申请。

六、其他要求

1．全国中心系统按照国家关键信息基础设施进行保护，全面落实等级保护第三级要求，并适当予以增强，等级保护测评报告应为“优”级别，由部公路局和科技司负责监督管理。

2．对在技术检测过程中弄虚作假的第三方服务机构，要严肃追究责任，并向全行业通报。

3．本规程由部科技司负责解释。

4．该规程自2019年10月15日起正式施行。

5

联网收费系统省域系统并网接入网络安全检测规程

附录A

并网接入网络安全符合性检测细则

1.省联网中心

1.1通用要求（14项）

要求小项

要求小项

满足条件（任意条件）：

*机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员